Wie prüfen die Aufsichtsbehörden den Datenschutz?

 

Eine Frage, die uns regelmäßig gestellt wird. Hier kurz ein paar Infos dazu: Die Behörden sind befugt, Datenschutzüberprüfungen durchzuführen und von den Verantwortlichen die Bereitstellung von Informationen zu fordern, die sie zu Prüfungszwecken benötigen. Von diesen Befugnissen haben die ersten Behörden der Länder Bayern, Berlin und Niedersachsen Gebrauch gemacht und es ist davon auszugehen, dass auch die übrigen Behörden 2019 ihre Prüfungen starten. In all diesen Prüfungen fanden sich grundsätzlich die gleichen Themen wieder:

Verzeichnis von Verarbeitungstätigkeiten

Hier reichten die Prüfungen von der bloßen Frage, ob ein solches Verzeichnis angelegt wurde und wie viele Prozesse das Verfahren enthält, bis zur Forderung der Herausgabe einer Übersicht über die Verfahren und eines Musterbeispiels.

Zulässigkeit der Verarbeitung

Bei der Frage nach den Rechtsgrundlagen für die Verarbeitung legen die Behörden besonderen Wert auf jene Grundlagen, die Fleiß beim Verantwortlichen voraussetzen, sprich nicht automatisch - wie beispielsweise ein Vertrag - vorliegen. Insofern wurden Muster von Einwilligungen und dokumentierte Interessenabwägungen beim berechtigten Interesse gefordert.

Betroffenenrechte

Neben den Mustern der Pflichtinformationen wird hier eine Beschreibung der Prozesse über den Umgang mit Betroffenenrechten gefordert und wie deren Einhaltung und rechtzeitige Beantwortung sichergestellt wird.

Technische und organisatorische (Sicherungs)maßnahmen (sogenannte TOMs)

Zu den technischen und organisatorischen Sicherungsmaßnahmen wird entweder eine Übersicht dieser verlangt oder die Fragen beziehen sich auf den Umgang mit den Sicherungsmaßnahmen in Bezug auf Sicherstellung deren Aktualität oder Angemessenheit. Die Aufsichtsbehörde des Landes Niedersachsen stellte auch Fragen zu einzelnen Sicherungsmaßnahmen (z.B. Berechtigungskonzept und Privacy by Design und Default).

Datenschutz-Folgenabschätzung

In Bezug auf die Datenschutz-Folgenabschätzung wollten die Behörden wissen, ob Verarbeitungen mit hohem Risiko für die Rechte und Freiheiten der Betroffenen identifiziert wurden und wenn ja, welche dies sind. Die dokumentierten Abschätzungen sind dann auch zu übermitteln.

Auftragsverarbeitung

Hier wollten die Behörden wissen, ob bereits Verträge mit Auftragsverarbeitern an die DSGVO angepasst wurden und auch die Übersendung einer Mustervereinbarung wurde gefordert.

Datenschutzbeauftragter

Neben der Frage, ob ein Datenschutzbeauftragter bestellt und der zuständigen Behörde gemeldet wurde, ist die fachliche Eignung des Datenschutzbeauftragten den Behörden wichtig.

Meldepflicht bei Datenschutzverstößen

Hier möchten die Behörden mehr über die Prozesse erfahren, die bei einer Datenpanne ausgelöst werden und sicherstellen, dass eine fristgerechte Meldung bei den Behörden und Betroffenen erfolgt.

Mit diesen Prüfungen möchten die Behörden erreichen, dass sich die Unternehmen grundlegend mit der DSGVO auseinandergesetzt haben und über ihre Dokumentation nachweisen können, dass eine Datenschutzorganisation aufgebaut wurde. Daneben haben die Aufsichtsbehörden der Länder Berlin und Bayern auch schon Prüfungen einzelner Verarbeitungsvorgänge eingeleitet. Mitte November hat die Berliner Aufsichtsbehörde etwa einen Fragebogen zu Facebook-Fanpages versendet. In Bayern wurden schon mehrere von diesen Prüfaktionen eingeleitet. So wurden dort Fragebögen zum Umgang mit den Pflichtinformationen im Bewerbungsverfahren, dem Umgang mit Ransomware in Arztpraxen, dem Einsatz von Online-Shop-Systemen etc. versendet.

Dies zeigt, dass mit einem unterschiedlichen Prüfverhalten der Behörden zu rechnen ist und Sie die stetige Verbesserung Ihres Datenschutzes nicht vernachlässigen sollten. Sollten Sie Post von einer Datenschutz-Aufsichtsbehörde erhalten, kontaktieren Sie uns bitte.

 

Ähnliche Beiträge

Zurück

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Alexandra Hecht

Rechtsanwältin, Fachanwältin für Arbeitsrecht

Zum Profil von Alexandra Hecht

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink